1. Ana Sayfa
  2. Ethereum
  3. Araştırmacılar 34.200 Savunmasız Ethereum Akıllı Sözleşmesi Buldular

Araştırmacılar 34.200 Savunmasız Ethereum Akıllı Sözleşmesi Buldular

Araştırmacılar 34.200 Savunmasız Ethereum Akıllı Sözleşmesi Buldular

Araştırmacılar yaklaşık bir milyon Ethereum akıllı sözleşmesinin taranarak, ether çalmak ve hatta saldırganların sahip olmadığı sözleşmelerdeki varlıkları dondurmak veya silmek için kullanılabilecek 34.200 savunmasız sözleşmeyi tespit etti.

Akıllı sözleşmeler, birisi sözleşmeye bir girdiğinde otomatik olarak yürütülen kodlanmış işlemler kümesidir. Akıllı bir sözleşmenin nasıl görünebileceğine ilişkin temel bir örnek:

” Bir dijital [obje] müzayedesinde kullanılan Ethereum akıllı sözleşmesini düşünün. Sözleşme, [nesne] üzerinde yapılan tekliflerin sayısını sayan “x” değişkenine sahiptir. Sahibinin teklifi nesne üzerinde uzatmak isteyebileceği gibi, nesnenin en yüksek teklif sahibine satılmasına izin verilmeden önce “x> 100″ tutarında bir sözleşme şartı oluşturabilir. Bu koşul karşılandığında, akıllı sözleşme otomatik olarak kazananla bir Eter işlemini başlatır ve [nesne] için bir satış emrini verir. ”

Akıllı sözleşmeler, Ethereum ağı ve kripto parası Ether’in kullanılması bu kadar popüler olmasının nedenlerinden biridir. Akıllı sözleşmeler, günümüz ICO’larının çoğuna güç sağlayan şeydir, ancak ayrıca çeşitli Ethereum tabanlı hizmetler ve araçlar da yürütmektedirler.

Akıllı Sözleşmeler Sadece Kod

Akıllı sözleşmeler ve diğer kodlar gibi, bazen açığa çıkarılabilir ve kullanılabilir kırık hatalar olabilir.

Bir korsan , TheDAO organizasyonundan 50 milyon dolar değerinde Ether’içalmak için böyle bir açığı 2016 yazında kullandı.

Bu hata, National University of Singapore (NUS) araştırmacılarına Ethereum akıllı sözleşmelerinde bug aramaya başlamıştı.2016’da, Hatalar için Ethereum akıllı sözleşmelerini tarayabilecek Oyente adlı bir araç yarattılar . Başlangıçta Oyente’yi 19.366 Ethereum akıllı sözleşmesini analiz etmek için kullandılar ve 8.833’ün savunmasız olduklarını keşfettiler.O araştırma , o sırada medya tarafından çok fazla ilgi görmedi ve araştırmacı ekibi, en akıllı sözleşmelerin nasıl kodlanacağına dair uyarılarını bu sayede kimseye duyuramadılar.

Parity olayı yeni bir araştırma başlattı ,Yeni tarama aracı

Bununla birlikte, araştırma ekibi geçtiğimiz sonbaharda savunmasız Ethereum akıllı sözleşmelerinin taranması konusundaki dikkatini tekrar geri döndürürken, birisi kullanıcıların Ether fonlarıyla uğraşmak için akıllı bir sözleşme hatasını kullandı.

Bu olay, geçen Kasım ayında Devops199’u yanlışlıkla ya da bilerek bilmediğimiz bir GitHub kullanıcısı, keşfedilen bir hata ile Parity cüzdanlarında 285 milyon dolarlık Eter’i kilitlediğinde yaşandı .

Bu olay, araştırmacıları akıllı sözleşmeleri analiz etmek için yeni bir araç yaratmaya itti. Maian olarak adlandırılan bu araç, daha fazla kusur olup olmadığını tarayabilir ve ayrıca büyük ölçekli taramada uzmanlaşmıştır.

Beş kişilik ekibi, Maian’ı, aşağıdaki tabloda listelenen aşağıdaki sonuçları içeren, kıvrımlı 970.898 akıllı sözleşmeyi analiz etmek için kullandı:

Prodigal contracts : Saldırıya uğradığında akıllı sözleşmeler, yanlış Ethereum adresini güvende tutmak için para gönderir.
Suicidal contracts : Akıllı sözleşmeler sadece sahibi tarafından değil bir başkası tarafından öldürülmüş olabilir (Parity Devops199 hatası burada olmaktadır)
Greedy contracts : Başkası tarafından kilitlenebilecek ve fonları sonsuza dek dondurabilen akıllı sözleşmeler (Parity Devops199 hatası da burada olmaktadır).

Sonuçlar, taranan sözleşmelerin % 3,5’inin saldırganların para çalmak veya kullanıcıların Ether’lerini dondurmasına yardımcı olabilecek önemli bir güvenlik açığından etkilenebileceğini gösteriyor.

Tıpkı 2016’da olduğu gibi araştırma ekibi kullanıcıları akıllı sözleşmelere güvenmenin tehlikelerine karşı kullanıcıları uyarıyor ve kullanıcıları akıllı bir sözleşmeye koymadan önce kusurları taramak için akıllı sözleşme analiz yazılımları dağıtmaya çağırıyor.

2016’da Oyente’nin kaynak kodunu yayımladıklarında, araştırmacılar saldırganların savunmasız sözleşmeleri taramak ve Ethereum fonlarını çalmak veya kilitlemek için Maian’ı kullanabileceğinden korkarak henüz Maian’ı serbest bırakmadılar.

Eğer tarama Ethereum akıllı sözleşmeler için bir araç arıyorsanız , Mythril Maian ve Oyente ile NUS ekibin çalışmalarını inceleyebilirsiniz. Bu araştırma makalesinde NUS ekibinin çalışmaları hakkında daha fazla bilgi var .

 

Kaynak : BleepingComputer

Yorum Yap

Yorum Yap